信安世纪NSAE

国联人寿PKI基础设施建设方案北京信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD目录国联人寿PKI基础设施建设 (1)1 概述 (1)2 PKI技术 (1)3 信安世纪与国密 (3)4 数字证书的选择 (3)5 方案 (4)5.1 电子保单系统 (4)5.1.1.方案架构 (4)5.1.2.系统平移 (6)5.1.3.方案优势 (7)5.1.4.案例...................................................................................... 错误！未定义书签。

5.2 网上商城系统 (7)5.2.1.典型需求 (8)5.2.2.实现方式 (9)5.2.3.方案架构 (9)5.2.4.功能分析 (9)5.2.5.业务实现流程 (10)5.2.6.方案优势 (11)5.3 OA系统 (14)5.3.1.典型需求 (14)5.3.2.系统概述 (15)5.3.3.系统架构 (15)5.3.4.流程介绍 (17)5.3.5.方案优势 (20)5.4 支付系统 (22)5.4.1.典型需求 (22)5.4.2.实现方式 (22)5.4.3.方案架构 (23)5.4.4.业务实现流程 (23)5.4.5.方案优势 (24)6 基于移动终端的CA设计 (25)6.1 概述 (25)6.2 适用系统 (26)6.3 系统架构 (26)6.4 使用流程 (27)6.4.1.PC端二维码登陆 (27)6.4.2.移动端APP数字签名系统验证 (29)6.4.3.动态密码认证 (30)7 基于云CA的设计 (34)7.1 概述 (34)7.2 适用系统 (34)7.3 系统架构 (35)7.4 访问流程 (35)1概述目前，国联人寿已经具有多套应用系统，通过不同的应用系统来完成不同的工作。

既有安全级别较高的系统，如网上商城、电子保单、在线支付等系统，同时又有如同办公人员所使用的OA系统、ERP系统等。

IT运维服务年度报告河南运维公司信息技术有限公司2015年1月12日页脚内容0目录第一部分概述 (7)第二部分运维网络介绍和拓扑图 (7)运维化工网络由运维东区、运维西区、洛阳、栾川、巩义、驻外单位，运维东区、运维西区及楼宇之间使用光纤，洛阳、栾川、巩义、驻外单位访问公司服务器使用SSL VPN访问。

(7) (8)2．1运维数据中心 (8)在运维东区办公楼五楼，使用光纤连接到运维办公楼三楼机房、运维宾馆、调度楼四楼机房、东区社区办，从调度楼四楼机房使用光纤到生产车间、运输公司、体育场、工程公司、理化室、小车班、白山库区、东区门岗、纸箱库，约300个PC。

(8)页脚内容1 (9)2.2运维西区网络中心 (9)运维数据中心使用光纤连接到运维西区学院楼地下室机房，经学院楼到服务楼、石村总库、西区大院、基础雷管车间、电管车间、西区医院、烟花办公室、烟花生产区、计量室、文化活动中心、工程公司、社区办、基建、库管、俱乐部、农业科技、试验站,约260个PC. (9)页脚内容2 (10)2.3运维网络网段划分 (10)2.4运维数据中心系统 (10)运维办公系统版使用的用友NC和NC协同办公系统,使用B/S架构。

数据中心设备及系统版本。

(10)序号设备名称品牌型号系统单位数量1数据库服务器IBM P720小型机 AIX7.1台22应用服务器IBM x3850x5Windows 2008 Sp2台23备份服务器IBM x3650M4Windows 2008 Sp2台14服务器负载均衡信安世纪NSAE1500台25光纤交换机EMC DS300B EMC DS300B台26主存储EMC VNX5300EMC VNX5300台17磁带库昆腾I500昆腾I500台18备份软件Symantec NBU 7.5Symantec NBU 7.5套110数据库Oracle Oracle 11G套111VPN深信服VPN2150深信服VPN2150 台 112NC NC631 NC631 (11)页脚内容3 (11)第三部分维护设备一览表 (12)第四部分各个系统设备运行情况 (17)4.1 ERP数据中心平台 (17)4.1.1数据库服务器IBM p720小型机 (17)4.1.2应用服务器IBM x3850x5 (18)4.1.3备份服务器IBM x3650M4和昆腾磁带库I500 (19)页脚内容44.1.4主存储EMC VNX5300 (21)4.1.5光纤交换机EMC DS300B光纤交换机 (22)4.2网络与网络安全设备整体运行 (23)4.2.1核心交换机9306主交换机 (23)4.2.2核心交换机9306备交换机 (24)4.2.3西区汇聚交换机9303交换机 (26)4.2.4东区汇聚交换机S5700 (27)4.3 配电系统 (33)4.4精密空调系统 (35)4.5.环境监控系统 (35)4.6门禁系统 (36)第五部分问题反馈 (36)5.1.数据中心精密空调 (36)5.2.数据中心应用服务器出现面板log灯报黄色警报 (39)5.3数据中心上网行为是深信服AC1200 (39)5.4运维无线控制器是深信服WAC3100 (39)第六部分优化建议 (40)页脚内容56.1运维无专业的杀毒软件，建议上专业的网络版杀毒软件。

PKI建设方案版本V 1.1作者张济美日期2015-08-20PKI建设方案PKI建设方案PKI建设方案国联人寿PKI基础设施建设 .................................................................... 错误!未定义书签。

1概述.................................................................................................. 错误!未定义书签。

2PKI技术 (1)3信安世纪与国密 (2)4数字证书的选择 (2)5方案 (3)5.1电子保单系统 (3)5.1.1.方案架构 (3)5.1.2.系统平移 (5)5.1.3.方案优势 (5)5.1.4.案例 ..................................................................................... 错误!未定义书签。

5.2网上商城系统 (6)5.2.1.典型需求 (6)5.2.2.实现方式 (7)5.2.3.方案架构 (7)5.2.4.功能分析 (7)5.2.5.业务实现流程 (8)5.2.6.方案优势 (9)5.3OA系统 (10)5.3.1.典型需求 (11)5.3.2.系统概述 (11)5.3.3.系统架构 (12)5.3.4.流程介绍 (14)5.3.5.方案优势 (17)5.4支付系统 (18)5.4.1.典型需求 (18)5.4.2.实现方式 (18)5.4.3.方案架构 (19)5.4.4.业务实现流程 (19)5.4.5.方案优势 (20)6基于移动终端的CA设计 (21)6.1概述 (21)6.2适用系统 (21)6.3系统架构 (22)6.4使用流程 (23)6.4.1.PC端二维码登陆 (23)6.4.2.移动端APP数字签名系统验证 (24)6.4.3.动态密码认证 (25)7基于云CA的设计 (28)7.1概述 (28)7.2适用系统 (28)7.3系统架构 (29)7.4访问流程 (29)1PKI建设方案目前，国联人寿已经具有多套应用系统，通过不同的应用系统来完成不同的工作.既有安全级别较高的系统，如网上商城、电子保单、在线支付等系统，同时又有如同办公人员所使用的OA系统、ERP系统等.国联人寿目前计划通过投资建设PKI体系，对目前各个业务系统进行改造，以提高各个业务的整体安全性.2 PKI技术PKI系统全称为公钥基础设施系统，按照类型可以分为两块，如下所示：证书颁发系统：主要实现数字证书全生命周期管理，有以下部分组成：⏹CA：数字证书签发的核心，负责签发和管理所有的证书及证书废止列表（CRL）；⏹RA：数字证书注册系统，所有用户通过RA系统完成注册后，向CA发送申请，获取证书；⏹KMC：提供加密证书提供密钥对的产生、保存、恢复服务，防止使用者恶意加密文件所导致的文件无法访问；⏹OCSP：提供标准的“在线证书状态协议”（Online Certificate StatusProtocol）应答服务，负责向请求者返回特定证书的状态，完成即时的证书状态查询功能.⏹LDAP：公共信息存储；⏹RADS：RADS是信安NetCert 系统提供的开发软件包，RADS提供了C语言和Java语言接口的CA应用开发工具，能方便地嵌入到Java应用服务器中又能够支持其他采用C语言开发的应用系统，提供全部的证书管理功能⏹EEDS：CA Server与最终用户之间的连接器（Connector），EEDS将处理CA Server与最终用户之间的证书自主管理请求与响应⏹NetCertEnroll：CA 系统的用户端的证书管理控件，NetcertEnroll控件通过web方式下载，并在浏览器中运行，与EEDS配合，实现更加安全的最终用户自主证书管理功能.数字证书支撑平台：通过数字证书颁发平台所颁发的数字证书，实现应用系统的数据机密性、完整性、抗抵赖性等.常见包括：⏹SSL：通过数字证书，完成通信加密，客户端与服务端的身份认证等；⏹VPN：通过数字证书，完成通信加密，常用于创建虚拟局域网等功能；⏹数字签名：通过数字证书，完成数据传输时的完整性，以及数据的康抵赖性；⏹动态密码：通过算法，向客户端发送一次性口令，完成身份认证等操作.3信安世纪与国密目前，根据国家相关指导部门的意见，需要在金融行业内逐渐普及国密算法，例如在本年度7月30日，保监会即明确指出保险行业电子保单系统中，电子保单系统需支持国密算法.信安世纪PKI全线产品均支持国密算法（可在国密局官网在线查询），并且信安世纪签名服务器曾获得发改委专项资金支持，同时在银行领域，2012年全国性国密改造试点的4个银行中，中国农业银行、民生银行、鹤壁银行均与信安世纪合作，采用信安世纪PKI 产品，全线支持其国密改造试点工作.同时，中国工商银行总行、中国建设银行总行、中国交通银行总行、中国平安银行的CA系统也选择信安世纪NetCert作为国密CA解决方案.本文中所涉及的方案以及产品，均支持国密，故下述方案中不在具体说明支持国密. 4数字证书的选择目前，根据国联人寿的计划，将自行部署一套CA系统，通过该CA系统为各个使用者颁发数字证书.目前已规划在网上商城、OA系统、在线支付系统、电子保单系统使用PKI技术以增强其安全性.建议国联人寿在类似于网上商城、OA系统这样只涉及甲乙双方关系的系统中使用自建CA系统进行数字证书的颁发，一方面，由于此类系统中，使用人数众多，采用第三方CA系统颁发数字证书，需要高昂的数字证书维护费用（第三方CA所颁发证书为租赁方式，需要按年计费）.另一方面，这些系统的使用者如使用数字证书，需要灵活、便利的管理方式，因此在这些系统中建议使用自检CA系统进行数字证书的颁发.对于在线支付系统，电子保单系统等，涉及到第三方的应用系统，建议采用第三方CA生成的数字证书.在线支付以及电子保单系统，两个系统只需要向第三方CA颁申请两张表示国联人寿的企业证书即可.5方案不带签名的原始电子保单由APP应用服务器生成，APP应用服务器将原始电子保单送到签名服务器进行数字签名，签名服务器根据APP应用服务器提供的参数及文件，选择数字证书进行数字签名，并重新生成与原始电子保单格式相同的带签名的电子保单，签名服务器将此文件返回给APP应用服务器.APP应用开发，由应用开发人员根据保险公司电子保单的生成要求进行现场应用开发.当用户购买并确认提交保单后，APP应用服务器将用户信息、险种信息、保险条款等按照定义的保单模板组合，调用文件生成API（HTML文件不需要生成API），生成指定格式的原始电子保单.现阶段，原始的电子保单格式一般采用HTML、PDF格式，这两种格式是目前互联网和客户主机非常通用的格式文件，用户使用时不需要额外的软件安装和设置.随着互联网的发展，会出现和使用更灵活的格式文件，APP应用服务器只要集成此文件格式的生成API，即可生成新格式的电子保单文件.原始的电子保单送到签名服务器，签名服务器使用数字证书对保单进行数字签名，并重新生成与原始保单格式相同的带签名的电子保单，并可以根据API所送参数在电子保单中增加附加信息，例如增加本保险公司图章，PDF文件在指定位置显示验签结果信息等. 5.1.1.2.电子保单验证用户下载带签名的电子保单后，可以在线或离线验证电子保单的数字签名.HTML格式通过信安世纪提供的验签控件对电子签名进行验签，并直接提示用户验签结果；PDF格式通过Adobe Reader软件自带的验签功能验签，并直观地显示验签结果.带签名的电子保单有任何改动，则验签不成功.HTML格式直接提示用户验签不成功，且不会显示保单内容；PDF格式文件改动后可能不能打开，即使能打开，也会提示用户文件有改动验签错误，并直观显示验签结果，例如验签成功则显示绿色√，失败则显示红色×.5.1.1.3.带数字签名电子保单生成流程1.客户登陆公司网站，查看并选择险种.2.所有客户的操作由WEB服务器送到APP应用服务器进行应用业务逻辑处理.3.客户选择险种，并使用用户名、密码登陆，填写保单所需信息后，提交保单.4.APP应用处理用户提交保单信息，根据用户信息生成原始的电子保单.5.APP应用将原始的电子保单发送到签名服务器进行数字签名.6.签名服务器完成原始电子保单数字签名后，将带签名的电子保单返给APP应用.7.用户下载最终带数字签名的电子保单8.用户本地保存带签名的电子保单.用户可离线或在线验签电子保单，并根据验签结果显示保单内容.5.1.2. 系统平移由于国联人寿目前已经采用了北京CA所提供的数字签名服务器完成电子保单的生成任务.但计划中将建设一套PKI基础设施平台，该平台中既包括了信安世纪数字签名服务器系统.如国联人寿计划使用信安世纪签名服务器对该平台进行替换，需完成以下两方面工作：1> 将北京CA所提供的数字证书导出，移入信安世纪签名服务器平台（也可等待当前北京CA签名服务器中数字证书到期后，又信安世纪平台进行重新生成CSR请求即可，这样就无需导入当前证书）；2> 重新部署API接口，使用信安世纪API接口替换北京CA接口，并调用信安世纪PDF签名方法即可.5.1.3. 方案优势⏹可支持用户在线或离线两种认证方式；⏹支持HTML和PDF两种方式的电子保单形式；⏹可根据需求定制电子图章，电子图章可直观的显示；⏹签名验签服务器可安全保存证书私钥；⏹可负载均衡或HA部署，实现系统高可用性；⏹每秒3000笔以上的高性能.5.1.4. 方案投入产品名称功能数量NetSign3300 签名/验签3（2生产，1开发）说明1：上述报价并不包含国联人寿所需的从国内第三方CA（如北京CA）获取的标示国联人寿企业身份的数字签名证书价格.说明2：本方案中报价均按照每一个系统所使用的产品进行报价，实际上，信安世纪产品均支持多服务，即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下).如签名服务器，一套签名服务器即可为电子保单使用，也可为网上商城所使用.5.2网上商城系统通信报文在网络中以密文形式传输，加密算法必须获得国密委的认同.7.2.1.2.完整性保证收到的数据与发送的数据完全一致.7.2.1.3.有效性通信报文不能被篡改或泄露7.2.1.4.不可否认性具备数字签名/验证签名功能，能为通信双方提供关键数据的不可否认性.7.2.1.5.安全审计能提供完善的审计功能，包括访问的时间、访问者身份、访问的资源、访问者的IP 地址等信息.具备行为日志的记录功能.7.2.1.6.高可靠性和高稳定性⏹具备并发处理的能力.⏹具备抗网络攻击的能力.⏹采用多级权限管理，实现权限分割，确保数据的安全.⏹可以满足客户7*24不间断工作的需求.5.2.2. 实现方式以B/S 结构为基本应用框架● 采用数字证书作为用户身份认证凭证● 以数字证书为基础实现应用安全● 以SSL 实现加密传输和身份认证● 以数字签名实现抗抵赖和防篡改● 保证在互联网上通信数据安全5.2.3.方案架构CRLCA防火墙防火墙保险应用服务器LDAP 服务器C R L C R L 浏览器NSAE NetSign NetOpti服务器负载均衡联通电信移动手机短信NetOpti 链路负载均衡 5.2.4. 功能分析1) 采用信安世纪NetCertCA 系统为网上商城建立认证中心系统（CA ），该系统可为网上银行用户签发数字证书.2) 数字证书的签发管理通过网上商城用户注册系统（RA ）实现，RA 系统以加密方式连接到CA 系统，实现证书的申请、签发、作废、更新等操作.3) 考虑到用户的使用便利性以及成本，建议采用文件证书的方式.4) 对于入站的请求，采用信安世纪NetOpit-LT 实现链路负载能力，以及基于用户所属ISP 的智能DNS 解析，实现链路高可靠性，乃至未来的全局负载能力.5) 信安世纪NSAE-NB作为网上商城系统的安全门户，NSAE实现与客户端IE浏览器的SSL加密通讯，并对用户数字证书进行验证.并且NSAE与后台系统通过J2EE证书处理机制联动，NSAE验证过的证书信息可直接为后台应用系统利用，实现应用系统中对用户身份的确认.6) 在应用服务器区，考虑到应用服务器作为系统的关键资源节点，采用信安世纪NetOpti ADN系统对服务器进行负载的同时，提高高可靠性.7) 信安世纪数字签名系统NetSign作为网上商城交易确认和事后审计的保证.5.2.5. 业务实现流程1)客户根据需求使用浏览器访问网上商城不同业务的域名或服务.2)用户产生DNS解析请求，最终会命中信安世纪NetOpti-NL设备，NetOpti-NL设备根据用户所属ISP，返回网上商城对应资源的公网IP地址，实现域名解析，快速入站的能力.同时，实现多链路冗余.3)用户完成请求后，访问至信安世纪NSAE-NB设备，实现SSL卸载：⏹用户可以采用单向SSL加密的手段，实现对银行域名服务的校验.⏹用户也可以采用双向SSL加密的手段，不但实现了对银行域名服务的校验、而且银行通过SSL加速设备还能校验客户端证书的有效性.4)NSAE-NB设备为All-in-One设备，在本项目中同时提供SSL与负载均衡功能，SSL加速设备通过对SSL的数据分析之后，将访问流量发送给负载均衡模块，负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息，并且根据不同的算法，将流量智能的分配到不同的后台Web服务器上，由Web服务器响应静态资源的请求，并将动态资源的请求转发到后台APP负载均衡设备上.5)APP负载均衡设备根据预定的算法将相应的请求命中至指定的APP服务器.同时，实施对服务器进行健康检查，当探测到任何一个服务器出现异常时，则在毫秒级时间片内将后续流量引导至正常工作的服务器上，确保其应用故障不影响使用者，从而隔离故障域.6)在一些涉及到用户资金的交易过程中，客户需要通过ActiveX控件将交易的信息进行数字签名，并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上，应用服务器通过API的调用和签名服务器进行交互，由签名服务器判断签名数据在经过网络传输过程中是否经过恶意篡改，以及实现抗抵赖性5.2.6. 方案优势⏹高可用性对于链路而言，当一条链路失效时，信安世纪全局负载均衡系统可瞬时感知链路通断状态，并且屏蔽该链路对应的公网DNS地址，引导后续流量从正常ISP线路入站，对用户屏蔽线路故障.对于应用而言当系统的某个节点出现关机、宕机、重启或者网卡载波丢失（连接断开）时，所有的流量就会被立即转到另一台热备设备上.保证了整个系统的正常运行.⏹兼容性数字签名控件有良好的兼容性，能支持到主流浏览器，保证在多样化的客户端浏览器的正常使用.支持所有标准的Java应用服务器，包括Weblogic.⏹稳定性SSL加速设备提供能会话保持策略，保证每次会话指向固定应用服务器⏹安全性通过双向HTTPS协议认证客户端与服务端，通讯双方的身份得到认证，通讯内容的私密性得到保障.独立的CRL文件下载服务，保证应用系统运行的连续性和安全级别.⏹高性能信安世纪CA系统，SSL系统均为高性能系统，支撑了国内如工商银行总行、农业银行总行网银系统上千万用户规模的使用.另一方面，在本项目中，通过在关键节点部署负载均衡系统，将应用的A/S（Active/Standby）架构升级至A/A架构，按照双节点部署的典型应用下，系统容量理论值增加一倍.⏹可维护性基于Web和命令行的服务带来高可维护性.强大的审计功能保证了对用户的操作进行审计记录，并且可以按照管理员要求进行特殊的行为日志记录.⏹可扩展性SSL设备上需支持部署多个ssl证书并接入多个域名,保证了不同客户的不同SSL 加密入口.同时，采用负载均衡设计的架构下，当未来应用出现瓶颈时，仅需增加应用服务器资源即可，无需调整网络架构，实现模块化部署，极大的简化了应用系统投产的时间与复杂度.5.2.7. 方案投入产品名称功能数量说明NetSign3300 签名/验签3（2生产，1开发）NetOpti2200-LT 链路负载 2NSAE2500-NB SSL+服务器负载3（2生产，1开发）NetOpti2200-NL 服务器负载 2NetSign3300 签名服务器3（2生产，1开发）PC客户端签名控件Chrom 客户端签名标准版仅支持IEPC客户端签名控件FireFox 客户端签名标准版仅支持IE说明1：上述报价并不包含国联人寿所需的国际第三方证书（如Versign）价格，需国联人寿自行提供第三方的SSL服务器站点证书.说明2：本方案中均按照每一个系统所使用的产品，实际上，信安世纪产品均支持多服务，即一套产品均可以为多个系统使用(在网络以及安全策略允许的前提下).如签名服务器，一套签名服务器即可为电子保单使用，也可为网上商城所使用.5.3OA系统说明：对于内网的应用而言，可以通过NetCertCA系统所颁发的数字证书与微软的AD域控进行集成，在用户登录AD域控时，通过数字证书进行验证，从而实现身份认证.也可以与单点登陆系统进行对接，用户在登陆单点登陆系统时，需要出示数字证书，通过验证后才可登陆单点登陆系统.或者单独与OA系统进行对接，完成身份认证，数据加密，数据完整性校验等.无论与AD、单点登陆、还是单独与OA系统进行集成，其实现原理基本相同，本文仅描述与OA系统对接过程.7.2.1.7. CA 系统 ⏹ 同步OA 系统人员的相关的信息.⏹ 提供数字证书的申请、作废、更新和查询等相关操作.⏹ 证书申请和证书更新实现一步操作，成功后将数字证书发送到人员邮箱中，由用户自行下载安装数字证书.⏹ 证书作废实现一步操作，成功后删除该员工信息.⏹ 提供数字证书查询功能，查询RA 数据库中已有的员工相关信息.⏹ 提供日志查询功能，对操作RA 的操作员所做的功能操作都要有日志记录；同时提供日志查询界面⏹ 需要将RA 应用系统集成在国联金融OA 系统中，并且由国联金融OA 系统的管理员来操作数字证书管理的相关操作；同时，保证其访问RA 应用系统的安全性. ⏹ 提供OA 系统用户自主更新和账户关闭接口，完成用户自主更新和账户关闭操作.7.2.1.8. 其他⏹ 通过技术手段实现数据传输时的机密性； ⏹ 通过技术手段时间数据传输过程中的完整性； ⏹ 通过技术手段时间操作者对所做操作的抗抵赖性；5.3.2. 系统概述国联金融自建CA ， RA 应用系统集成于国联金融OA 系统中，由OA 系统的管理员来管理和操作数字证书的申请、更新和作废，以及证书和日志查询操作；同时，RA 应用系统提供OA 系统用户自主更新证书和关闭账户的接口，以完成用户证书的更新和账户关闭的操作.同时，依托于PKI 技术，实现数据传输时的机密性以及完整性和抗抵赖性.5.3.3. 系统架构5.3.3.1.整体架构图⏹通过NSAE-NB设备，一方面构建基于SSL的安全通道，确保使用者使用OA时的机密性；同时，通过NSAE-NB的负载均衡功能，可以完成对OA系统的高可靠性保障；⏹通过NetCertCA系统为用户颁发数字证书；⏹通过数字签名系统完成数字签名，实现完整性以及抗抵赖性.由于本方案中，NetCertCA与OA系统集成要求较为紧密，下文主要描述NetCertCA系统：5.3.3.2. NetCert CA 系统架构如下图所示：证书认证机构服务器（CA Server ）证书注册机构服务器（RA Server ）与OA 系统部署在同一服务器证书认证机构数据库(私有信息)证书认证机构管理终端 （CA Admin ）证书管理系统由信安世纪公司负责开发和实施，通过自建CA 颁发行内员工数字证书，数字证书用于行内OA 系统的登陆凭证.系统管理员通过证书管理系统为行内每位员工申请证书，证书会自动发送到员工行内邮箱，员工安装所申请的证书即可完成OA 系统登陆.员工还可通过证书管理系统来进行证书的作废、更新等证书管理操作.5.3.4. 流程介绍5.3.4.1. 数字管理流程证书申请流程：输入员工ID 、姓名和选择部门通过OA 提供的视图和输入的查询条件获取员工信息数字证书发送到员工邮箱获取员工信息成功成功成功显示错误信息失败员工信息确认失败显示错误信息证书申请失败显示错误信息RA 管理员登录结束在国联金融OA 系统中，由OA 系统管理员登陆RA 系统，选择证书申请操作，输入员工编号、员工姓名以及选择部门等查询条件，通过OA 系统提供的视图查询得到员工的信息（员工编号、员工姓名、部门编号、部门名称和邮件地址）；确认员工信息后，进行证书申请操作，证书申请成功，则将数字证书发送到员工的邮箱中；如果证书申请失败，系统能够给出错误提示和要求信息.提供 对OA 系统新增加未申请证书人员查询功能，以及非正常操作导致的信息已确认但没有申请证书的查询功能.证书更新流程：输入员工ID 、姓名和选择部门根据所输入的查询条件获取员工的证书信息数字证书发送到员工邮箱获取证书信息成功成功显示错误信息失败证书更新失败显示错误信息RA 管理员登录结束在国联金融OA 系统中，由OA 系统管理员登陆RA 系统，选择证书更新操作，输入员工编号、员工姓名、证书的起止日期以及选择部门等查询条件，查询得到员工证书的信息（员工编号、员工姓名、部门名称和邮件地址）；确认员工信息后，进行证书更新操作，证书更新成功，则将数字证书发送到员工的邮箱中；如果证书更新失败，系统能够给出错误提示和要求提示信息. 提供人员证书30即将到期提醒和查询以及以日期（天）查询即将到期的人员证书.证书作废流程：输入员工ID、姓名和选择部门根据所输入的查询条件获取员工的证书信息获取证书信息成功成功显示错误信息失败证书作废失败显示错误信息RA管理员登录结束在国联金融OA系统中，由OA系统管理员登陆RA系统，选择证书作废操作，输入员工编号、员工姓名以及选择部门（OA系统提供部门信息的下拉列表框）等查询条件，查询得到员工证书的信息（员工编号、员工姓名、部门名称和邮件地址）；确认员工信息后，进行证书作废操作，证书作废成功，返回成功信息；如果证书作废失败，系统能够给出错误提示和要求提示信息.5.3.4.2.应用系统使用流程1)客户根据需求使用浏览器访问OA系统；2)用户完成请求后，访问至信安世纪NSAE-NB设备，实现SSL卸载，由于在内网使用，使用环境较为安全，建议采用单向SSL即可.3)NSAE-NB设备为All-in-One设备，在本项目中同时提供SSL与负载均衡功能，SSL加速设备通过对SSL的数据分析之后，将访问流量发送给负载均衡模块，负载均衡模块按照不同的应用类型(服务端口)或者访问路径(URL)等信息，并且根据不同的算法，将流量智能的分配到不同的后台OA服务器上.4)在一些涉及到领导审批等重要操作环节，客户需要通过ActiveX控件将交易的信息进行数字签名，并将这些签名信息通过SSL加密隧道一层一层的传输到应用服务器上，应用服务器通过API的调用和签名服务器进行交互，由签名服务器进行验签操作，完成后交给应用存档，以实操作者对签名操作的抗抵赖性.5.3.5. 方案优势⏹完善的数字证书管理功能：提供数字证书的申请、下载、更新、冻结、解冻、作废等功能，为数字证书提供完善的生命周期管理支持.⏹丰富的数字证书应用类型：产品自带签名证书、加密证书、SSL 站点证书等多种数字证书模板，用户还可以通过证书模板管理功能灵活配置各种算法、用途和格式的数字证书.⏹与管理方式高度融合的特性：基于RADS 开发组件定制开发的RA 系统可实现与证书管理和用户管理的高度融合.⏹安全的软件设计：系统采用安全的结构设计，各模块之间通讯使用独立的安全传输通道.在权限管理方面采取分权制衡的设计思路.⏹大规模应用实践检验：目前世界上发证数量最大的两大CA 系统，中国工商银行和中国农业银行CA 系统均采用的NetCert 产品系列，实践经验的积累使得NetCert 的稳定性和兼容性非常优秀.。

前厅部工作总结前厅部工作总结范文（通用3篇）前厅部工作总结1自今年三月接手前厅部并兼职pa的工作对我是个不小的挑战，在进入工作状态之前，一是对工作环境熟悉及与员工的相互认识，有目的地减少陌生感，迅速把自己融入到九鑫这个大家庭当中。

二是在对酒店的管理模式和客源结构有了基本了解后，适度调整自身状态和管理方式，初步建立与新老员工之间，与部门之间良好的合作关系。

第三是配合老师的培训，强化规划化管理和程序化操作，以期达到服务质量明显提高的要求。

至于前面两点，相信凭多年的酒店从业经验和谦和的个性已迅速进入到了这个圈子里，关键的第三步通过50天的培训，部门员工在礼节礼貌；仪表仪容及岗位技能方面都有了一定的进步，但说到员工优质服务的可塑性；部门工作的高效性上来，又是一个任重而道远的目标。

总台这一年来的工作，从人员上来说来来去去而且新手较多，从开业到现在人员就几乎没有整齐过，虽然工作还算基本开展了下去，但不尽如人意的地方还是很多，表现在对客服务方面有这么几点，一是缺乏主动热情服务意识，没有耐烦心，态度生硬，二是责任感差，比如对于宾客的诉求只是简单的告之责任点，很少去了解和督促事件的结果，往往因怠慢客人而遭到投诉，体现在工作上就是不细心，如对账目的处理就比较粗心大意，因为大意修修改改，三是团结协作不够，尤其在于其他部门的工作配合还不到位，甚至还发生过言词激烈的争执，四是劳动纪律一般，脱岗现象严重。

造成这些问题的出现，客观上看可能因为人手紧，上班时间长，容易疲劳，长期会造成情绪上的不稳定，这种情况下为稳定队伍有些制度也没有严格执行。

主观上还是存在疏于思想管教，过分袒护其不符合规范的行为，总台服务要求的谦恭；耐心；微笑；周到和迅速的服务标准做的也没有预计的好，所以这一块需要提升的空间还很大。

由于九鑫山庄所具有的特殊性，既承担政务接待，又承担主管上级单位的接待，还面对社会游客开放，展望20xx年，随着一号楼改造完成，九鑫山庄已经整体向高规格酒店看齐了，为了有与之配套的前台服务队伍，总台的工作要做如下调整，1、考虑到本酒店的性质，规模和业务量，为保证前台的工作效益以及方便顾客，正确设立前厅部组织机构及人员编制。

信安世纪NSAE全系列产品技术白皮书标准版V13信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术讲明书。

本材料的有关权益归信安世纪公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

©2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书前言 (1)第1章产品概述11.1 公司介绍11.2 产品体系介绍31.3 产品背景3第2章产品简介52.1 产品型号52.2 产品应用7第3章产品功能93.1 功能特性93.1.1 应用加速（SSL加速）93.1.2 服务器负载均衡（SLB）113.1.3 链路负载均衡（LLB）163.1.4 全局服务负载分担（GSLB）193.1.5 其他功能223.2 部署方式253.3 产品优势26第4章技术特性284.1 产品特性284.2 硬件特性304.3 性能特性31第5章总结32当前，不管在政府网、金融网、企业网、校园网依旧在广域网如Inter net上，业务量的进展都超出了过去最乐观的估量，用户大量的信息要求，持续更新的应用需求以及对业务不间断的连续访咨询，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。

原有链路也会因为用户量的持续增大导致用户访咨询速度过慢，链路拥塞，网络故障频繁，专门是各个网络的核心部分，其数据流量和运算强度之大，使得单一设备全然无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于显现一台设备过忙、而别的设备却未充分发挥处理能力的情形，就成为信息提供商及应用服务商必须克服的咨询题，负载均衡机制也因此应运而生。